「標的型攻撃メール」

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。

これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。

本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。

今回のテーマは、「標的型攻撃メール」です。

標的型攻撃メールとは 

「標的型攻撃メール」とは、特定の企業や組織に属する従業員をターゲットとしたフィッシングメールの一種です。

一般的なフィッシングメールでは、不特定多数に同じ内容のメールが送信され、主に個人の財産や情報が狙われます。

これに対して、標的型攻撃メールでは、特定の対象者宛に個別メールを送信し、企業や組織の資産や重要情報を狙うという相違点があります。

フィッシングメールについては、こちらの記事♯7「フィッシングとSNS乗っ取り」で詳しく解説しているので、ご参照ください。

標的型攻撃メールとフィッシングメール攻撃の違い

標的型攻撃メールとフィッシングメールの比較を次の表にまとめました。

次からは、受信者、送信者とメール内容、攻撃の目的の3つに分けて、標的型攻撃メールで行われていることを順に説明します。

（１）受信者（標的）

標的型攻撃メールでは、攻撃者は初めに攻撃対象となる企業や組織に属する従業員のメールアドレスを様々な方法で取得し、ターゲットを絞ってメールを送信してきます。

受信者（標的）を特定するための方法には、次のようなものがあります。

・インターネットサイトやダークウェブ(闇サイト)での取得

・すでに乗っ取った関連企業・組織(対象企業・組織含む)のPCやID等の利用

・取引先等を詐称して該当企業に電話するなど、人間の心理的な隙へのつけ込みによる取得

（２）送信者（攻撃者がなりすます相手）とメール内容

メールの送信者名や送信元アドレスは容易に偽装されます。

フィッシングメールでも標的型攻撃メールでも、送信者が偽装される点は同じです。

しかし、偽装された送信者が全く異なります。

標的型攻撃メールでは、取引先や上司・経営者、社内関連部署などになりすまし、メールの内容も偽装した送信者に合わせたものになっているのが特徴です。

例えば、取引先からの請求書差し替えのメールや上司からの指示メールなど、日頃の業務に関わる内容になっています。このため、受信者はあたかも通常の業務の一環として対応し、疑うことなく文中のリンクをクリックしたり、添付ファイルを開いたりしてしまうことがあります。 

標的型攻撃メールでは、狙われた人の関係者が送信者となっていることから、攻撃メールとは気づかずに本物のメールと信じてしまう確率が非常に高くなっています。

特に、乗っ取られたPCやIDを使った標的型攻撃メールは、偽装部分がメール内容だけのため、防ぐのは非常に困難です。

（３）攻撃の目的

標的型攻撃メールの最終的な狙いは様々で、企業の機密情報や内部情報の搾取や金銭の取得です。

標的型攻撃メールで金銭を取得する方法は、ビジネスメール詐欺（こちらの記事「不正送金」で解説）による直接の金銭詐取、マルウェアから企業内部へ侵入し機密情報を盗み売却するもの、ランサムウェアを感染させ身代金を要求するものなど、多岐に渡ります。

標的型攻撃メールへの対策

前述したとおり、標的型攻撃メールは受信者が不審を抱かないように、あたかも業務に関係したメールのように偽装されるため、防ぐことは非常に困難です。

自企業内に攻撃者に乗っ取られたPCやIDが存在すると、そのPCやIDを使って取引先へ攻撃ができることになります。

このため、すべての企業が「基本的なセキュリティ対策を確実に実施すること」が最も重要な防止策となります。

たとえ信頼できる送信者からのメールであっても、内容に違和感を持ったときには、電話などメール以外の方法で、必ず相手に確認するようにしてください。

また、EDRやUTMなどのセキュリティソリューションを導入することで、標的型攻撃メールによるマルウェア感染時の早期検知が可能となり、被害の拡大を抑えることが期待できます。

完全な防護策ではありませんが、EDR、UTMをまだ導入されていない方は、早期の導入を検討してみることも対策の一つとして有効です。

EDRやUTMについては、下記で詳しく解説しているので、あわせて参照ください。

・#2「EDR」

・#3「UTM」

参考文献

１．「国民のためのサイバーセキュリティサイト（標的型攻撃への対策）」総務省
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/04/